Pular para o conteúdo principal

Laboratório de Troubleshooting: Manage External Users

Cenários de Diagnóstico

Cenário 1 — Causa Raiz

A equipe de TI de uma empresa recebeu uma reclamação de carlos.lima@fornecedor.com, usuário convidado ativo no tenant há três meses. Carlos afirma que, após tentar acessar um aplicativo corporativo integrado ao Microsoft Entra ID, recebe a seguinte mensagem:

AADSTS50020: User account 'carlos.lima@fornecedor.com' from identity provider
'fornecedor.com' does not exist in tenant 'contoso.com' and cannot access the
application '8e3f4b2a-...' in that tenant. The account needs to be added as an
external user in the tenant first. Sign out and sign in again with a different
Azure Active Directory user account.

O administrador verifica no portal e confirma que a conta de Carlos existe no diretório como tipo Guest com status Active. O aplicativo está registrado no tenant e possui usuários atribuídos. Carlos afirma que conseguia acessar normalmente até a semana passada e que não houve nenhuma mudança em seu lado. O domínio fornecedor.com não está listado como domínio bloqueado nas configurações de colaboração externa.

O administrador também nota que, no mesmo dia do início do problema, foi realizada uma migração de licenças do tenant, sem relação com usuários externos.

Qual é a causa raiz do problema?

A) O domínio fornecedor.com foi adicionado à lista de restrições de colaboração externa após a reclamação.

B) A conta de Carlos foi removida da atribuição de usuários do aplicativo no Microsoft Entra ID.

C) O convite de Carlos expirou e o token de sessão foi invalidado automaticamente.

D) As configurações de Microsoft Entra Conditional Access bloqueiam o acesso de usuários externos ao aplicativo.

Cenário 2 — Decisão de Ação

A causa do problema foi identificada: durante uma reorganização de grupos de acesso no tenant, a conta Guest de carlos.lima@fornecedor.com foi removida da atribuição direta do aplicativo e o grupo do qual ele fazia parte também teve sua atribuição revogada do aplicativo. Carlos precisa retomar o acesso com urgência, pois há uma entrega crítica em andamento.

O administrador tem as seguintes restrições:

  • Não possui permissão para reatribuir grupos ao aplicativo (essa ação exige aprovação do time de segurança, com SLA de 48 horas)
  • Possui permissão para gerenciar atribuições diretas de usuários em aplicativos
  • Não deve criar novos grupos ou alterar a estrutura de grupos existente
  • O acesso precisa ser restaurado em menos de 30 minutos

Qual é a ação correta a tomar neste momento?

A) Abrir um ticket para o time de segurança solicitando a reatribuição do grupo ao aplicativo com prioridade máxima.

B) Criar um novo grupo temporário, adicionar Carlos e atribuir esse grupo ao aplicativo.

C) Adicionar Carlos diretamente à lista de usuários atribuídos ao aplicativo no Microsoft Entra ID.

D) Reenviar o convite de colaboração externa para Carlos, forçando a recriação da conta Guest.

Cenário 3 — Causa Raiz

Uma administradora recebe uma reclamação de três usuários externos diferentes, de domínios distintos, todos relatando que seus convites de colaboração foram recebidos por e-mail mas que, ao clicar no link, a página retorna o seguinte erro:

Sorry, but we're having trouble signing you in.
AADSTS65005: The application has requested permissions to access a resource that
does not match what is configured in the Consent Framework.

Investigando o histórico recente, a administradora identifica as seguintes ações realizadas nos últimos dois dias:

  • Atualização do certificado TLS de um aplicativo interno (sem relação com o fluxo de convite)
  • Alteração da URL de redirecionamento no registro do aplicativo usado no fluxo de resgate de convite
  • Adição de um novo domínio verificado ao tenant
  • Rotação de chaves de um aplicativo de monitoramento

Todos os convites foram enviados dentro do mesmo período e os três usuários tentaram resgatar o convite no mesmo dia. Usuários internos do tenant não relatam nenhum problema de acesso.

Qual é a causa raiz do problema?

A) A adição do novo domínio verificado ao tenant invalidou os convites pendentes gerados antes da mudança.

B) A URL de redirecionamento no registro do aplicativo do fluxo de resgate foi alterada para um valor incompatível.

C) A rotação de chaves do aplicativo de monitoramento gerou conflito com o processo de autenticação de convidados.

D) O certificado TLS atualizado não é reconhecido pelo provedor de identidade externo dos usuários convidados.

Cenário 4 — Sequência de Diagnóstico

Um administrador recebe o seguinte relato: usuários externos de um parceiro específico conseguem aceitar o convite e acessar o tenant, mas são bloqueados ao tentar abrir um conjunto de arquivos no SharePoint Online compartilhado com eles. Usuários internos acessam os mesmos arquivos sem qualquer problema.

O administrador precisa diagnosticar o problema. Os passos de investigação disponíveis são:

  • Passo P: Verificar se o usuário externo está atribuído ou é membro do grupo com acesso à biblioteca do SharePoint
  • Passo Q: Verificar os logs de entrada do usuário externo no Microsoft Entra ID para identificar se há bloqueio por Microsoft Entra Conditional Access
  • Passo R: Confirmar que o convite foi aceito e que a conta Guest está com status Active no diretório
  • Passo S: Verificar as configurações de compartilhamento externo no nível do site SharePoint e da organização no tenant
  • Passo T: Abrir um ticket com o suporte da Microsoft relatando incompatibilidade entre SharePoint e Microsoft Entra External ID

Qual é a sequência correta de diagnóstico?

A) R, Q, S, P, T

B) Q, R, P, S, T

C) R, S, Q, P, T

D) S, R, Q, P, T

Gabarito e Explicações

Gabarito — Cenário 1

Resposta: B

A pista decisiva no enunciado é que Carlos existia no diretório com status Active e acessava normalmente até a semana anterior. O erro AADSTS50020 pode parecer indicar que a conta não existe, mas a mensagem é genérica e aparece também quando o usuário existe no diretório mas não possui atribuição ao aplicativo específico. O próprio enunciado confirma que o aplicativo "possui usuários atribuídos", sinalizando que a atribuição é necessária.

A informação sobre a migração de licenças é deliberadamente irrelevante e serve para desviar o diagnóstico. Licenças de tenant não afetam atribuições de aplicativos para usuários externos.

A alternativa A é incorreta porque o domínio não bloqueado é confirmado explicitamente. A alternativa C confunde expiração de convite com sessão ativa; um convite expirado impediria o resgate inicial, não o acesso de um usuário já ativo há três meses. A alternativa D é plausível, mas o Conditional Access bloquearia com um código de erro diferente (AADSTS53003 ou similar) e afetaria outros usuários externos também.

Agir com base na alternativa D seria o erro mais perigoso: alterar políticas de Conditional Access sem diagnóstico preciso pode afetar todos os usuários externos do tenant.

Gabarito — Cenário 2

Resposta: C

Dado o conjunto de restrições, a única ação que restaura o acesso dentro do prazo de 30 minutos, sem violar as permissões do administrador e sem alterar a estrutura de grupos, é adicionar Carlos diretamente à lista de atribuições de usuários do aplicativo.

A alternativa A respeita o processo, mas o SLA de 48 horas inviabiliza a entrega crítica e ignora que o administrador possui uma alternativa dentro de suas permissões. A alternativa B viola explicitamente a restrição de não criar novos grupos. A alternativa D é tecnicamente incorreta: reenviar um convite não restaura atribuições de aplicativo; o convite controla o acesso ao diretório, não às permissões sobre recursos específicos.

O ponto central deste cenário é distinguir entre o que é tecnicamente possível, o que está dentro das permissões disponíveis e o que atende às restrições de tempo.

Gabarito — Cenário 3

Resposta: B

O erro AADSTS65005 indica uma incompatibilidade entre as permissões solicitadas durante o fluxo de autenticação e o que está configurado no registro do aplicativo. O fluxo de resgate de convite do Microsoft Entra External ID depende de um registro de aplicativo com URIs de redirecionamento válidas e consistentes. Uma alteração nessa URL quebra o fluxo para todos os convites que passam por esse aplicativo, independentemente do domínio de origem do convidado.

A pista confirmatória é que os três usuários são de domínios distintos e todos falharam no mesmo período, logo após a alteração da URL de redirecionamento. Se o problema fosse de domínio ou de convite específico, afetaria apenas um dos usuários.

As informações sobre o certificado TLS e a rotação de chaves do aplicativo de monitoramento são propositalmente irrelevantes. A adição de domínio verificado (alternativa A) não invalida convites pendentes; convites são vinculados ao endereço de e-mail, não ao domínio do tenant.

O distrator mais perigoso é a alternativa D, pois leva o administrador a investigar o lado do provedor externo, desperdiçando tempo em algo fora do seu controle.

Gabarito — Cenário 4

Resposta: A

A sequência correta é: R, Q, S, P, T

O raciocínio diagnóstico deve seguir uma progressão do mais abrangente para o mais específico, eliminando hipóteses de fora para dentro:

  1. R — Confirmar que o usuário aceitou o convite e está ativo. Se a conta não estiver ativa, nenhum outro passo é necessário.
  2. Q — Verificar os logs de entrada para identificar bloqueio por Conditional Access. Um bloqueio nessa camada impediria qualquer acesso, não apenas ao SharePoint.
  3. S — Verificar as configurações de compartilhamento externo do tenant e do site. O SharePoint possui controles próprios de compartilhamento externo que são independentes do Microsoft Entra ID e podem bloquear o acesso mesmo para guests ativos.
  4. P — Verificar atribuição ao grupo ou biblioteca específica. Esse passo é mais granular e só faz sentido após confirmar que as camadas anteriores estão corretas.
  5. T — Abrir ticket com o suporte é sempre o último recurso, após esgotar os diagnósticos internos.

A alternativa B começa pelo Conditional Access antes de confirmar que a conta está ativa, o que inverte a lógica. A alternativa C pula o Conditional Access antes do SharePoint, o que pode levar a um diagnóstico incompleto. A alternativa D começa pelas configurações do SharePoint sem validar o estado básico da conta, que é o pré-requisito de tudo.

Árvore de Troubleshooting: Manage External Users

100%
Scroll para zoom · Arraste para mover · 📱 Pinch para zoom no celular

Legenda de cores:

CorTipo de nó
Azul escuroSintoma inicial (ponto de entrada)
AzulPergunta diagnóstica (decisão binária ou de estado)
VermelhoCausa identificada
VerdeAção recomendada ou resolução
LaranjaValidação ou verificação intermediária

Para usar esta árvore diante de um problema real, comece pelo nó raiz descrevendo o sintoma geral. A partir de cada pergunta de diagnóstico, responda com base no que é observável diretamente no portal ou nos logs, sem presumir a causa. Siga o caminho que corresponde ao estado real observado até alcançar um nó de causa identificada. Somente então execute a ação recomendada correspondente e valide o resultado nos logs de entrada antes de encerrar o atendimento.